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Kompromittierung deutscher Regierungsnetze 


Vorbemerkung der Fragesteller 

Am 28. Februar 2018 meldete die dpa Deutsche Presse-Agentur GmbH, „aus¬ 
ländische Hacker“ seien in den Infonnationsverbund Berlin-Bonn (IVBB) ein¬ 
gedrungen („Innenministerium: Hacker griffen deutsches Regierungsnetz an“, 
BERLINER MORGENPOST vom 28. Februar 2018). Im Auswärtigen Amt 
habe es „einen entsprechenden Vorfall“ gegeben, auch das Bundesministerium 
der Verteidigung (BMVG) sei betroffen. Den Hinweis auf die Kompromittie¬ 
rung hätten deutsche Geheimdienste nach Informationen des Senders „Rund¬ 
funk Berlin-Brandenburg (rbb) am 19. Dezember 2017 von einem „ausländi¬ 
schen Partner“ erhalten („Von der Uni ins Ministerium?“, tagesschau.de vom 2. 
März 2018). In der Bundespressekonferenz vom 2. März 2018 wurde hierzu ge- 
mutmaßt, dieser Dienst käme aus dem Baltikum („Regierungspressekonferenz 
vom 2. März 2018“, bundesregierung.de). Nun ermitteln das Bundesamt für Si¬ 
cherheit in der Infonnationstechnik (BSI) und das für Spionageabwehr zustän¬ 
dige Bundesamt für Verfassungsschutz (BfV), auch der Auslandsgeheimdienst 
Bundesnachrichtendienst (BND) ist eingebunden. Verbindungsdaten des IVBB 
werden drei Monate aufgehoben. Für rund neun Monate der Angriffe stehen für 
die Ermittlungen deshalb keine Logfiles zur Verfügung. 

Als Urheber des „Vorfalls“ wurde von der „dpa“ das in Russland verortete Netz¬ 
werk „APT28“ benannt, das auch für Phishing-Mails an Bundestagsbüros im 
Jahr 2015 verantwortlich sein soll. Einen Tag später korrigierte sich die Agentur 
und schrieb den „Vorfall“ unter Berufung auf ungenannte „Kreise“ dem eben¬ 
falls in Russland verorteten Netzwerk ,Snake 1 zu, das „Verbindungen“ zu rus¬ 
sischen Geheimdiensten habe („Kreise: Russische , Snake‘-Hacker hinter An¬ 
griff 1 , dpa vom 1. März 2018). Das Netzwerk „Snake“ ist eigentlich die Be¬ 
zeichnung für die Schadsoftware „Turla“ bzw. „Uroburos“ (www.kaspersky.de/ 
resource-center/threats/epic-turla-snake-malware-attacks), wird jedoch syno¬ 
nym zur Bezeichnung mutmaßlicher Angreifer gebraucht. Der Trojaner „Uro¬ 
buros“ wurde 2008 entdeckt und soll kyrillische Schriftzeichen im Programmcode 
enthalten, seit 2014 soll eine Linux-Variante kursieren (https://malwarebattle. 
blogspot.de/2014/03/g-data-found-russian-cyber-weapon.html). Sicherheitsfir¬ 
men wiesen in den vergangenen Jahren daraufhin, dass „Uroburos“ Teil einer 
internationalen „Spionagekampagne 11 gewesen sei, die weltweit „Botschaften, 
Rüstungsfinnen, Lehranstalten und Forschungsinstitute“ betroffen habe 
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(https://securelist.com/the-epic-turla-operation/65545/). Auch im Bundesminis¬ 
terium des Innern, für Bau und Heimat (BMI) war dies bekannt. Im Verfas¬ 
sungsschutzbericht für 2016 heißt es, dass „Snake“ seit 2005 mit der „sehr kom¬ 
plexen und qualitativ hochwertigen Schadsoftware“ aktiv sei. Der Trojaner 
„Uroburos“ sei darauf ausgelegt, „in großen Netzwerken von Behörden, Firmen 
und Forschungseinrichtungen zu agieren“. Betroffen seien insbesondere die Be¬ 
reiche Energietechnik, Röntgen- und Nukleartechnologie, Messtechnologie so¬ 
wie Luft- und Raumfahrt. 

Das Rootkit „Uroburos“, das sich selbstständig in infizierten Netzwerken ver¬ 
breitet, besteht aus zwei Dateien für 32- und 64-Bit-Windows-Systeme mit ei¬ 
nem Treiber. Die Kompromittierung des IVBB sei laut der „dpa“ über Computer 
einer Fachhochschule des Bundes für öffentliche Verwaltung erfolgt, Aktivitä¬ 
ten seien ab Ende 2016 festgestellt worden („Kreise: Russische , Snake‘-Hacker 
hinter Angriff', dpa vom 1. März 2018). Der Angriff wurde möglicherweise 
durch fehlende Sicherheitsupdates oder eine großzügige Rechtevergabe begüns¬ 
tigt. Gewöhnlich nutzen Angreifer auch nicht veröffentlichte Sicherheitslücken 
(„Zero Day Exploits“). Laut dem Verfassungsschutzbericht für 2016 erfolgten 
Infektionen mit „Uroburos“ meist über sogenannte Watering-Hole-Attacken, 
bei denen Angreifer Webpräsenzen, die für das Opfer potenziell interessant 
sind, auf infizierte Web-server umleiten. Werden die Seiten aufgerufen, erfolgt 
die Installation der Schadsoftware bei dem Opfer des Cyberangriffs. Die ausge¬ 
wählten Betroffenen seien auf einer sogenannten White-List gespeichert. In der 
„Süddeutschen Zeitung“ vom 6. März 2018 heißt es dazu, die Angreifer hätten 
das Mailprogramm Microsoft Outlook genutzt, um dort codierte Befehle in ei¬ 
nem E-Mail-Anhang zu verstecken. Der betroffene Rechner war demnach be¬ 
reits mit Schadsoftware infiziert. Über Outlook sollen die Dokumente schließ¬ 
lich auch ausgeleitet worden sein. Infiziert worden sei zunächst die Liegen¬ 
schaftsverwaltung des Auswärtigen Amts, danach ein Referat mit Russlandbe¬ 
zug. Im Januar 2017 habe die Malware einen Steuerbefehl erhalten und begon¬ 
nen, Infonnationen an einen nicht näher benannten Server auszuleiten. Im März 
2017 hätten die Angreifer dann Administrator-Rechte auf Windows-Clients im 
Auswärtigen Amt erlangt. Erst kurz vorher wurden die dortigen Linux-Systeme 
zu Windows und Microsoft migriert (Bundestagsdrucksache 18/4473). Einen 
der Rechner habe ein Mitarbeiter des BMVG genutzt. Das BMVG soll deshalb 
entgegen erster Informationen nicht direkt betroffen gewesen sein. 

Der IT-Angriff hat nach derzeitigem Stand keinen großen Schaden angerichtet. 
Im IVBB werden keine als vertraulich oder geheim eingestuften Dokumente 
verteilt („Regierungspressekonferenz vom 2. März 2018“, bundesregierung.de). 
Die Rede ist von sechs abgeflossenen Dokumenten, die zum Teil „Bezüge zu 
Russland, der Ukraine und Weißrussland“ hätten. Ein Mitarbeiter des BMI er¬ 
klärte im Ausschuss für Verkehr und digitale Infrastruktur des Deutschen Bun¬ 
destages, das Parlament und die Öffentlichkeit sei nicht früher über den Vorfall 
informiert worden, um die Angreifer weiter beobachten und rückverfolgen zu 
können. Die an die Presse geleakten Informationen hätten die weitere Aufklä¬ 
rungsarbeit zwangsläufig beendet. Die Bundesanwaltschaft hat deshalb Vorer¬ 
mittlungen auf der Suche nach der undichten Stelle begonnen („Bundesanwalt¬ 
schaft nimmt Vorennittlungen auf', haz.de vom 2. März 2018). Nicht auszu¬ 
schließen sei, dass die Veröffentlichungen dafür sorgten, dass die Angreifer 
Spuren löschen konnten. 

In der Vergangenheit will die Bundesregierung täglich 20 „hoch spezialisierte 
Cyberangriffe“ festgestellt haben, von denen nach Einschätzung des BSI einer 
pro Woche „einen nachrichtendienstlichen Hintergrund“ gehabt habe (Bundes¬ 
tagsdrucksache 18/11106, Antwort zu Frage 18). Für die Einstufung als „hoch 
spezialisierter Cyberangriff' genügt es jedoch, wenn eine Schadsoftware die Vi¬ 
renscanner des BSI überwinden kann. In keinem der Fälle konnte der vermutete 
„nachrichtendienstliche Hintergrund“ bestätigt oder gar nachweislich einer Re¬ 
gierung zugeordnet werden. 
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Trotzdem will die Bundesregierung die rechtlichen und technischen Fähigkeiten 
zu digitalen Gegenschlägen ausweiten („Hacking back? Technische und politi¬ 
sche Implikationen digitaler Gegenschläge“, SWP-Aktuell 59, August 2017). 
Der Bundessicherheitsrat soll hierzu eine Analyse der benötigten technischen 
Fähigkeiten vornehmen und der Bundesregierung Vorschläge für notwendige 
gesetzliche Änderungen vorlegen. Solche „Hackbacks“ könnten laut dem Chef 
der neuen Entschlüsselungsbehörde des Bundes Zentrale Stelle für Infonnati¬ 
onstechnik im Sicherheitsbereich -ZITiS helfen, „entwendete Dateien und Do¬ 
kumente zumindest auf den Servern der Diebe zu löschen“ („Entschlüsselungs¬ 
behörde- Staat muss digital Zurückschlagen können“, de.reuters.com vom 
22. November 2018). Auch im Koalitionsvertrag zwischen CDU, CSU und SPD 
heißt es, man wolle „Angriffe aus dem Cyberraum gegen unsere kritischen Inf¬ 
rastrukturen abwehren und verhindern“. 


Vorbemerkung der Bundesregierung: 

Zwar ist der parlamentarische Informationsanspruch grundsätzlich auf die Beant¬ 
wortung gestellter Fragen in der Öffentlichkeit angelegt. 

Die Bundesregierung ist allerdings nach sorgfältiger Abwägung zu der Auffas¬ 
sung gelangt, dass eine Beantwortung der Fragen 3, 5a, 5c, 5e bis 5g, 10, 10a, 
10b, 13, 16 und 17 nicht vollständig in offener Form erfolgen kann. 

Die erbetenen Auskünfte zu den Fragen 5a, 5c, 5e bis 5g und 16 sind geheimhal¬ 
tungsbedürftig, weil die Kenntnisnahme der Antworten durch Unbefugte die Si¬ 
cherheit der Bundesrepublik Deutschland gefährden und ihren Interessen schwe¬ 
ren Schaden zufügen kann. Die Antworten enthalten Informationen zu Details 
operativer Maßnahmen und erlauben potentiellen Angreifern Rückschlüsse auf 
die Fähigkeiten und das Vorgehen deutscher Behörden. Flierzu zählen Einzelhei¬ 
ten zu der Erkenntnis läge der Behörden über das Vorgehen und die Fähigkeiten 
des Angreifers. Die Veröffentlichung dieser Erkenntnisse ließe Rückschlüsse auf 
die Aufklärungsschwerpunkte zu und würde die zukünftige Aufgabenerfüllung 
der beteiligten Behörden und damit die Gewährleistung der IT-Sicherheit gefähr¬ 
den. Diese würde zukünftige Angriffe erleichtern. 

Der Schutz vor allem der technischen Fähigkeiten der Bundesbehörden stellt für 
die Aufgabenerfüllung der Bundesbehörden einen überragend wichtigen Grund¬ 
satz dar. Er dient der Aufrechterhaltung der Effektivität - insbesondere nachrich¬ 
tendienstlicher - Informationsbeschaffung durch den Einsatz spezifischer Fähig¬ 
keiten und damit dem Staatswohl. Auch sind Erkenntnisse über Analysefähigkei¬ 
ten von Sicherheitsvorfällen und Maßnahmen zur Sicherung von IT-Systemen 
betroffen. Eine Veröffentlichung von Einzelheiten betreffend solche Fähigkeiten 
würde zu einer wesentlichen Schwächung der den Behörden zur Absicherung der 
IT-Systeme und zur Reaktion auf Angriffe zur Verfügung stehenden Möglichkei¬ 
ten führen. Dies würde für ihre Auftragserfüllung erhebliche Nachteile zur Folge 
haben und für die Interessen der Bundesrepublik Deutschland schädlich sein. Die 
Schutzmaßnahmen dienen der Aufrechterhaltung der Sicherheit und Funktions¬ 
fähigkeit des Informationsverbundes Bonn-Berlin (IVBB) und damit dem Staats¬ 
wohl. 
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Daher sind die Antworten zu den genannten Fragen als Verschlusssache nach § 4 
Absatz 2 Sicherheitsüberprüfungsgesetz in Verbindung mit der Allgemeinen Ver¬ 
waltungsvorschrift des Bundesministeriums des Innern zum materiellen und or¬ 
ganisatorischen Schutz von Verschlusssachen (VS-Anweisung — VSA) mit dem 
Geheimhaltungsgrad „VS - Geheim“ eingestuft und können bei der Geheim¬ 
schutzstelle des Deutschen Bundestages eingesehen werden. 1 

Die Auskünfte zu den Fragen 3 und 13 sind geheimhaltungsbedürftig, weil die 
Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik Deutsch¬ 
land nachteilig sein kann. Eine öffentliche Zuordnung von Angriffskampagnen 
zu ausländischen Diensten bedarf einer sorgfältigen Abwägung. Daher könnte 
eine vollständige offene Beantwortung hinsichtlich der konkreten Attribution für 
die auswärtigen Beziehungen der Bundesrepublik schädlich sein. 

Ferner könnte eine öffentliche Auskunft Dritten Erkenntnisse über Analysefähig- 
keiten von Sicherheitsvorfällen ermöglichen. Eine Veröffentlichung von Einzel¬ 
heiten betreffend solche Fähigkeiten würde zu einer wesentlichen Schwächung 
der den Behörden zur Absicherung der IT-Systeme und zur Reaktion auf Angriffe 
zur Verfügung stehenden Möglichkeiten führen. Daher sind die Antworten zu den 
genannten Fragen als Verschlusssache nach § 4 Absatz 2 Sicherheitsüberprü¬ 
fungsgesetz in Verbindung mit der Allgemeinen Verwaltungsvorschrift des Bun¬ 
desministeriums des Innern zum materiellen und organisatorischen Schutz von 
Verschlusssachen (VS-Anweisung - VSA) mit dem Geheimhaltungsgrad „VS - 
Nur für den Dienstgebrauch“ eingestuft. 

Ferner sind die erbetenen Auskünfte zu den Fragen 10, 10a, 10b und 17 geheim¬ 
haltungsbedürftig, weil die Kenntnisnahme durch Unbefugte für die Interessen 
der Bundesrepublik Deutschland nachteilig sein kann. Details zu den IT-Syste- 
men der Bundesregierung sind schützenswerte Informationen, deren Bekanntwer¬ 
den die Cybersicherheit dieser Systeme in ihrer Wirkung schwächen würde. Da¬ 
her sind die Antworten zu den genannten Fragen als Verschlusssache nach § 4 
Absatz 2 Sicherheitsüberprüfüngsgesetz in Verbindung mit der Allgemeinen Ver¬ 
waltungsvorschrift des Bundesministeriums des Innern zum materiellen und or¬ 
ganisatorischen Schutz von Verschlusssachen (VS-Anweisung — VSA) mit dem 
Geheimhaltungsgrad „VS - Nur für den Dienstgebrauch“ eingestuft. 2 


1. Wie viele „hoch spezialisierte Cyberangriffe“ stellt das BSI in den Jahren 
2016 und 2017 im Durchschnitt täglich im IVBB und im Bundestagsnetz 
fest, bei denen es als Einstufung genügte, dass die Virenscanner die Schad¬ 
software übersehen (Bundestagsdrucksache 18/11106, Antwort zu Frage 18)? 

2. In wie vielen der Fälle wurde dabei ein „nachrichtendienstlicher Hinter¬ 
grund“ angenommen, und in wie vielen Fällen wurde dieser bestätigt oder 
gar nachweislich einer Regierung zugeordnet? 

Die Fragen 1 und 2 werden gemeinsam beantwortet. 

Für die Beantwortung der Fragen wird auf die Berichte des Bundesamtes für Si¬ 
cherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland von 
2016 und 2017 verwiesen. 


1 Das Bundesministerium des Innern, für Bau und Heimat hat Teile der Antworten zu den Fragen 5a, 5c, 5e bis 5g und 16 als „VS - Ge¬ 
heim“ eingestuft. Die Antworten sind in der Geheimschutzstelle des Deutschen Bundestages hinterlegt und können dort nach Maßgabe 
der Geheimschutzordnung eingesehen werden. 

2 Das Bundesministerium des Innern, für Bau und Heimat hat Teile der Antworten zu den Fragen 3, 10a, 10b, 13 und 17 als „VS - Nur für 
den Dienstgebrauch“ eingestuft. Die Antworten sind im Parlamentssekretariat des Deutschen Bundestages hinterlegt und können dort 
von Berechtigten eingesehen werden. 
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Diese sind unter den Adressen www.bsi.bund.de/SharedDocs/Downloads/DE/ 

BSI/Publikationen/Lageberichte/Lagebericht20 16.pdf? _blob=publicationFile&v=5 

und www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/ 
Lagebericht2017.pdf? _blob=publicationFile&v=4 abrufbar. 

Gemäß Bericht des BSI zur Lage der IT-Sicherheit in Deutschland 2016 wurden 
im Berichtszeitraum Juli 2015 bis Juni 2016 täglich über 400 Cyberangriffe de- 
tektiert, die mit kommerziellen Sicherheitsprodukten nicht erkannt worden wä¬ 
ren. Gerechnet auf Kalenderjahre, lag die durchschnittliche Anzahl täglicher An¬ 
griffe in 2016 darüber, während sie in 2017 etwas geringer ausfiel. 

Der Rückgang der Zahlen resultiert u. a. aus einer stärkeren Vorfilterung durch 
vorgelagerte Systeme, die nicht in diese Statistik eingeht. Eine exakte Differen¬ 
zierung und Attribution von hoch spezialisierten Cyberangriffen findet nicht in 
jedem Fall statt und ist auch nicht zielführend, da dies zur Abwehr des Angriffes 
nicht immer erforderlich ist und gegen den jeweils entstehenden Aufwand abge¬ 
wogen werden muss. 

Im Übrigen wird auf die Antwort der Bundesregierung zu Frage 17 der Kleinen 
Anfrage der Fraktion DIE LINKE, auf Bundestagsdrucksache 18/11106 vom 
8. Februar 2017 verwiesen. Die dort getätigten Ausführungen gelten auch für das 
Jahr 2017 fort. 


3. Welchem russischen Geheimdienst ordnet die Bundesregierung die „Cy¬ 
berangriffskampagne APT28“ zu (Antwort auf die Schriftliche Frage 12 des 
Abgeordneten Andrej Hunko auf Bundestagsdrucksache 18/13667)? 

APT 28 wird verbreitet einem staatlichen russischen Akteur zugeordnet. Auf den 
„VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß Vorbemer¬ 
kung der Bundesregierung wird verwiesen. 


a) Welche „Hinweise“ auf eine Spear-Phishing-Angriffswelle auf mehrere 
politische Parteien auf Bundes- und Landesebene wurden im August 2016 
bekannt? 

Im August 2016 erhielt die Bundesregierung Hinweise auf Spear-Phishing-An- 
griffe gegen mehrere politische Parteien. Nach Kenntnis der Bundesregierung 
waren diese nicht erfolgreich. 


b) Aus welchen Erwägungen oder nach welchen „Indizien“ wurden zurück¬ 
liegende „Angriffsversuche“ dem Netzwerk „APT 28“ zugerechnet, und 
welche „nachrichtendienstlichen Erkenntnisse“ lagen hierzu vor (Bundes¬ 
tagsdrucksache 18/11106, Antwort zu Frage 18; bitte die „Indizien“ aus¬ 
führen)? 

Indizien beziehen sich insbesondere auf die bei zurückliegenden Angriffen ge¬ 
nutzten technischen Infrastrukturen, die bereits von anderen Angriffen der APT 
28-Kampagne bekannt sind. 
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c) Welche „Angriffsvorbereitungen“ konnten im Februar 2017 „erfolgreich 
verhindert werden“? 

Die Vorbereitung von Phishing-Angriffen auf eine deutsche Partei konnten ver¬ 
hindert werden. In diesem Zusammenhang erhielt das Bundesamt für Verfas¬ 
sungsschutz (BfV) den Hinweis auf eine kurz zuvor registrierte Domain, die eine 
legitime Seite einer deutschen Partei imitierte. Die betroffene Partei wurde un¬ 
verzüglich über den Sachverhalt informiert. 


d) Welche „Cyberangriffe“ erfolgten anschließend auf Netzwerke politi¬ 
scher Stiftungen, und inwiefern handelte es sich dabei lediglich um den 
Versand von Spear-Phishing-Mails? 

Anfang März 2017 erlangte das BfV Kenntnis von einem Spear-Phishing-Angriff 
auf das Netzwerk der Konrad-Adenauer-Stiftung. 

Zudem identifizierte das BfV Anfang April 2017 eine kurz zuvor registrierte Do¬ 
main, bei der davon auszugehen war, dass sie für Credential-Phishing-Angriffe 
gegen die Friedrich-Ebert-Stiftung angelegt wurde. Hierzu hatten Mitarbeiter der 
Stiftung Spear-Phishing-Mails von dieser Domain als nachgeahmte Login-Seite 
erhalten, mit dem Ziel, auf diese Weise die Zugangsdaten dieser Mitarbeiter ab¬ 
zugreifen. 


e) Aus welchen Erwägungen oder nach welchen Indizien wurden diese Vor¬ 
fälle von den deutschen Sicherheitsbehörden „als mögliche Vorberei¬ 
tungshandlungen für Versuche einer Einflussnahme auf die Bundestags¬ 
wahl angesehen“, die nach Kenntnis der Fragesteller schließlich nie er¬ 
folgte oder nachgewiesen werden konnte? 

Bereits im Vorfeld der US-amerikanischen Präsidentschaftswahlen im Sommer 
2016 war APT 28 entsprechend aktiv gewesen. Zudem sprachen zunehmende Cy¬ 
berangriffe auf den Deutschen Bundestag, Parteien und politische Stiftungen seit 
Mitte 2016 für eine solche Einschätzung. 


4. Handelt es sich bei dem jüngsten Angriff auf das deutsche Regierungsnetz 
nach Auffassung der Bundesregierung um einen Vorgang von besonderer 
Bedeutung gemäß § 4 Absatz 1 des Kontrollgremiumgesetzes (PKGrG) und 
bitte begründen Sie diese Auffassung? 

Falls ja, wurde das Parlamentarische Kontrollgremium umgehend unterrich¬ 
tet oder wer entschied, vorerst von einer Unterrichtung abzusehen? 

Gemäß § 6 Absatz 2 des Gesetzes über die parlamentarische Kontrolle nachrich¬ 
tendienstlicher Tätigkeit des Bundes (PKGrG) kann die Bundesregierung von ei¬ 
ner Unterrichtung nach § 4 Absatz 1 PKGrG absehen, wenn der Kembereich der 
exekutiven Eigenverantwortung betroffen ist. Dies war bei der operativen Bewäl¬ 
tigung des Angriffes auf Teile des Kommunikationsnetzes der Bundesregierung 
der Fall. In dem Zeitraum zwischen der ersten Kenntnisnahme und dem öffentli¬ 
chen Bekanntwerden des Vorfalls stellte das Tätigwerden der Sicherheitsbehör¬ 
den ein laufendes Verfahren dar, indem es einerseits darum ging, genug Erkennt¬ 
nisse über die Angriffsvektoren und Infonnationen für den Schutz im IVBB zu 
sammeln und ein Konzept für die sichere und nachhaltige Bereinigung der IT- 
Systeme auszuarbeiten. Darüber hinaus war die interne Willensbildung der Bun¬ 
desregierung zum Umgang mit dem laufenden Angriff auch wegen des andauern¬ 
den Erkenntnisgewinns noch nicht vollständig abgeschlossen. Von einer Unter- 
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richtung gemäß § 4 Absatz 1 PKGrG bis zum öffentlichen Bekanntwerden wurde 
aus diesen Gründen abgesehen. Auf das Vorliegen eines Vorganges besonderer 
Bedeutung gemäß § 4 Absatz 1 PKGrG kommt es daher nicht an. 

Das Parlamentarische Kontrollgremium (PKGr) wurde nach dem öffentlichen 
Bekanntwerden unverzüglich unterrichtet. 


5. Welche IT-Systeme und welche Bundesministerien bzw. nachgelagerte Bun¬ 
desbehörden waren von dem am 28. Februar 2018 bekannt gewordenen IT- 
Angriff nach derzeitigem Stand betroffen? 

Betroffen waren IT-Systeme beim Auswärtigen Amt (AA) und bei der Hoch¬ 
schule des Bundes (HS Bund). 


a) Welche der dabei genutzten Angriffsinfrastruktur (insbesondere die Nut¬ 
zung von Outlook und bekannter Server zum Ausleiten der Dokumente) 
ist bereits bei anderen Angriffen gegen Einrichtungen des Bundes festge¬ 
stellt worden (Bundestagsdrucksache 18/11106, Antwort zu Frage 1)? 

c) Wann und wo genau ist die Kompromittierung des IVBB erfolgt, und wel¬ 
chen Weg nahm die Schadsoftware? 

e) Wann erhielten die Angreifer Administratorrechte auf den Web-Client im 
Auswärtigen Amt? 

f) Wann erhielt die Schadsoftware einen Steuerbefehl und begann Infonna¬ 
tionen auszuleiten, und welche Server wurden hierfür genutzt? 

g) Wann wurde der Angriff endgültig unter Kontrolle gebracht und die 
Schadsoftware aus dem IVBB entfernt? 

Ist die Bundesregierung sich sicher, dass die Schadsoftware vollständig 
entfernt wurde, und kann ausschließen, dass sich Teile davon noch im 
IVBB-Netz befinden? 

Zu den Fragen 5a, 5c und 5e bis 5g wird auf die „VS - Geheim“ eingestuften 
Antworten gemäß der Vorbemerkung der Bundesregierung verwiesen. 


b) Welche Schadsoftware wurde nach derzeitigem Stand bei dem Angriff 
genutzt? 

Es wurden diverse Werkzeuge bei diesem Angriff genutzt, die größtenteils spezi¬ 
ell für diesen Angriff angefertigt worden sein dürften. 


d) Inwiefern wurden bei dem Angriff nach derzeitigem Stand der Ermittlun¬ 
gen Webpräsenzen, die für das Opfer potenziell interessant sind, auf infi¬ 
zierte Webserver umgeleitet? 

Nach dem derzeitigen Stand der Analysen wurden keine Webpräsenzen auf infi¬ 
zierte Webserver umgeleitet. 
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h) Für welchen Zeitraum werden im IVBB Vorratsdaten gespeichert, und 
welche Logfiles des in Rede stehenden Angriffs stehen ab welchem Da¬ 
tum für Analysen und Ennittlungen zur Verfügung? 

Nach § 5 Absatz 2 des Gesetzes über das Bundesamt für Sicherheit in der Infor¬ 
mationstechnik (BISG) dürfen Protokolldaten für die automatisierte Auswertung 
längsten für drei Monate gespeichert werden. Eine darüber hinausgehende Ver¬ 
wendung personenbezogener Daten ist nach § 5 Absatz 3 BSIG vom Einzelfall 
abhängig. Nach § 2 Absatz 8 BSIG sind Protokolldaten im Sinne dieses Gesetzes 
Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die 
unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den 
am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Ge¬ 
währleistung der Kommunikation zwischen Empfänger und Sender notwendig 
sind. Protokolldaten können Verkehrsdaten gemäß § 3 Nummer 30 des Telekom¬ 
munikationsgesetzes und Nutzungsdaten nach § 15 Absatz 1 des Telemedienge- 
setzes enthalten. 

Im Übrigen sind personenbezogene Daten, welche das BSI im Rahmen seiner 
Befugnisse erhebt, nach § 6 BSIG unverzüglich zu löschen, sobald sie für die 
Erfüllung der Aufgaben, für die sie erhoben worden sind, oder für eine etwaige 
gerichtliche Überprüfung nicht mehr benötigt werden. Für die technischen Ana¬ 
lysen des vorliegenden Falles standen dem BSI Protokolldaten nach § 5 Absatz 2 
BSIG beginnend ab September 2017 zur Verfügung. 


6. Inwiefern war das beim Bundesverwaltungsamt geführte und vom Bundes¬ 
kriminalamt genutzte Passagierdatensystem in der Vergangenheit von IT-Si- 
cherheitsvorfällen betroffen (bitte jeweils ausführen)? 

a) Aus welchen Gründen wurde das System wie berichtet abgeschaltet („Ha¬ 
cker sollen Dokumente zu Brexit und Ukraine entwendet haben“, ZEIT 
ONLINE vom 10. März 2018, bitte mitteilen ob vorab nicht nur „Belas¬ 
tungstests“, sondern auch Penetrationstests durchgeführt wurden)? 

b) Welche Ergebnisse ergaben diese Tests jeweils mit Blick auf ihre Sicher¬ 
heit? 

Die Fragen 6 bis 6b werden gemeinsam beantwortet. 

Das System zur Fluggastdatenspeicherung wird zurzeit im Bundesverwaltungs¬ 
amt (BVA) getestet. Der Wirkbetrieb wird vorbereitet. Vor Aufnahme des Wirk¬ 
betriebs werden entsprechende Penetrationstests durch das BSI durchgeführt. Die 
Ergebnisse dieser Tests des BSI werden derzeit von BVA und Infonnationstech¬ 
nikzentrum Bund (ITZBund) ausgewertet. Ein Cyber-Angriff, wie teilweise in 
der Presse berichtet wurde, hat nicht stattgefunden. 


7. In welchen Fällen war die Lemplattform „ILIAS open source e-leaming 
e. V. (ILIAS) “, die an der Hochschule des Bundes zu Weiterbildungszwe¬ 
cken genutzt wird, in der Vergangenheit von IT-Sicherheitsvorfällen betrof¬ 
fen („Hack auf Bundesregierung erfolgte über Lemplattfonn Ilias“, GO- 
LEM.DE vom 8. März 2018)? 

Der Bundesregierung ist nicht bekannt, dass die Lemplattfonn ILIAS, die an der 
HS Bund genutzt wird, in der Vergangenheit von anderen als dem in Rede ste¬ 
henden Sicherheitsvorfall betroffen war. 
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a) Kann die Bundesregierung bestätigen, dass der Standardaccount mit Ad¬ 
ministratorrechten mit dem Passwort „homer“ angelegt wurde? 

Nein, die Bundesregierung kann nicht bestätigen, dass der Standardaccount mit 
Admin-Rechten mit dem Passwort „homer“ angelegt war. 


b) Wenn nein, welches war das Passwort bei der Erstanlage? 

Inwiefern kann die Bundesregierung sicherstellen, dass jedes dieser Initial¬ 
passwörter nach Installation sofort auf ein anderes Passwort geändert wurde? 

Es wurde ein Initialpasswort gemäß den Passwortrichtlinien des BSI verwendet. 
Die Änderungen des Initialpassworts nach Installation ist ein Standardverfahren 
bei der HS Bund entsprechend der Dienstanweisung für die Benutzung von In¬ 
formationstechnik. 


c) Inwiefern trifft es zu, dass „ILIAS“ seit März 2017 in der Version 5.1.16 
betrieben wurde, obwohl es danach mehrere Sicherheitsupdates gegeben 
hat? 

Die Lernplattform ILIAS wurde in der Version 5.1.16 ab Dezember 2016 bei der 
HS Bund eingesetzt. Alle notwendigen Sicherheitspatches wurden unverzüglich 
installiert. 


d) Welche Sicherheitslücken wurden durch die verzögerte Installation von 
Sicherheitsupdates ennöglicht (etwa Cross-Site-Scripting oder die Be¬ 
handlung von Mediendateien)? 

Auf die Antwort zu Frage 7c wird verwiesen. 


e) Was ist der Bundesregierung darüber bekannt, wann genau die Version 
5.1.16 eingespielt wurde, und inwiefern der aktuelle IT-Sicherheitsvorfall 
davon profitierte, dass eine erst damit geschlossene Sicherheitslücke das 
Kopieren von Dateien an beliebige Stellen im Dateisystem ennöglichte? 

Am 20. Dezember 2016 wurde die Version 5.1.16 installiert. Im Übrigen sind die 
technischen Analysen des Vorfalles noch nicht abgeschlossen. 


8. Welche deutschen Geheimdienste oder Bundesministerien wurden wann von 
welchem „ausländischen Partner“, der möglicherweise aus dem Baltikum 
kommt, über den Angriff infonniert? 

Die Bundesregierung wurde am 18. Dezember 2017 durch einen Partnerdienst 
unterrichtet. Im Übrigen ist die Auskunft zu der Frage geheimhaltungsbedürftig, 
weil die Kenntnisnahme durch Unbefugte für die Interessen der Bundesrepublik 
Deutschland nachteilig sein kann. Eine öffentliche Mitteilung, welche deutschen 
Nachrichtendienste oder Ministerien wann von einem „ausländischen Partner“ in¬ 
formiert wurden, ließe Rückschlüsse auf deren Aufklärungsschwerpunkte und In¬ 
formationsgewinnung zu. 

Dies könnte zu einer wesentlichen Schwächung der Informationsgewinnung und 
Aufklärungsmöglichkeiten führen und daher die Sicherheit der Bundesrepublik 
Deutschland nachhaltig gefährden. 
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Daher ist die Antwort insoweit als Verschlusssache nach § 4 Absatz 2 des Sicher¬ 
heitsüberprüfungsgesetzes in Verbindung mit der Allgemeinen VerwaltungsVor¬ 
schrift des Bundesministeriums des Innern zum materiellen und organisatori¬ 
schen Schutz von Verschlusssachen (VS-Anweisung - VSA) mit dem Geheim¬ 
haltungsgrad „VS - Nur für den Dienstgebrauch“ eingestuft. 


9. Von welchen Bundesministerien, nachgelagerten Bundesbehörden oder Ab¬ 
teilungen wurde die Infonnation über den laufenden Angriff nach derzeiti¬ 
gem Stand der Ermittlungen an die „dpa“ weitergegeben, und inwiefern 
konnte die Bundesregierung analysieren, ob die Veröffentlichungen dafür 
sorgten, dass die Angreifer Spuren löschen konnten? 

Der Bundesregierung liegen keine Erkenntnisse vor, wie die Informationen an die 
dpa gelangt sind. Im Übrigen ist die technische Analyse des Vorfalles noch nicht 
abgeschlossen. 


10. Welchen Schaden hat der Angriff nach derzeitigem Stand der Analyse ange¬ 
richtet, und welche Dokumente wurden kopiert? 

a) Welches „Referat mit Russlandbezug“ ist von dem Vorfall betroffen? 

b) Worin bestehen die „Bezüge zu Russland, der Ukraine und Weißruss¬ 
land“, die den sechs kopierten Dokumenten zugeschrieben werden, und 
zu welchen weiteren Ländern hatten diese „Bezüge“? 

Die Fragen 10 bis 10b werden gemeinsam beantwortet. 

Auf die „VS - Nur für den Dienstgebrauch“ eingestuften Antwort gemäß Vorbe¬ 
merkung der Bundesregierung wird verwiesen. 


11. Welche Bundesbehörden (auch die Bundesanwaltschaft) ermitteln zu dem 
Vorfall und damit im Zusammenhang stehenden Fragen, und wie sind die 
Zuständigkeiten geregelt? 

Der Generalbundesanwalt hat am 15. März 2018 ein Ennittlungsverfahren wegen 
des Verdachts der geheimdienstlichen Agententätigkeit gegen Unbekannt einge¬ 
leitet und das Bundeskriminalamt mit den polizeilichen Ennittlungen beauftragt. 

Die Ermittlungen dauern an. Die Zuständigkeiten sind gesetzlich geregelt. 


12. Inwiefern kann die Bundesregierung die in den Medien vennutete Urheber¬ 
schaft der in Russland verorteten Netzwerke „APT28“ oder „Snake“ bestä¬ 
tigen oder nicht bestätigen? 

Für wie sicher wird die Zuschreibung gehalten? 

Modus Operandi, technische Merkmale sowie deren Opferflächen sprechen nach 
bisherigen Erkenntnissen der zuständigen Bundesbehörden mit hoher Wahr¬ 
scheinlichkeit für die in der Frage vermutete Urheberschaft. 


13. Welchem russischen Geheimdienst kann „Snake“ aus Sicht der Bundesre¬ 
gierung zugeordnet werden? 

Hinweise deuten nach Expertenmeinungen auf den russischen Inlandsdienst FSB. 
Auf den „VS - Nur für den Dienstgebrauch“ eingestuften Antwortteil gemäß Vor¬ 
bemerkung der Bundesregierung wird verwiesen. 
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14. Seit wann ist dem BMI der Trojaner „Uroburos“ bekannt, und welche Vor¬ 
kehrungen wurden für entsprechende Angriffe getroffen? 

Der genannte Trojaner ist dem BSI unter anderem Namen mindestens seit Som¬ 
mer 2012 bekannt. Das BSI pflegt regelmäßig Signaturen zur Erkennung dieser 
und ähnlicher Angriffe in die Schutzsysteme des IVBB ein und tauscht sich dazu 
mit Partnern aus. Für die Reaktion auf solche Angriffe wurde u. a. das Mobile 
Incident Response Team (MIRT) eingerichtet. 


a) Welche deutschen Netzwerke „von Behörden, Firmen und Forschungs¬ 
einrichtungen“ wurden nach Kenntnis der Bundesregierung mit „Uro¬ 
buros“ infiltriert bzw. welche Versuche sind hierzu bekannt (Verfassungs¬ 
schutzbericht von 2016; sofern keine Details oder Zahlen der Angriffe 
mitgeteilt werden können, bitte deren Größenordnung angeben)? 

Zu den deutschen Zielen gehörten das Regierungsnetz, Auslandsvertretungen in 
westlichen Staaten, mehrere Schulen und Hochschulen sowie Forschungsinsti¬ 
tute. Die bekannten Angriffe bewegen sich im oberen zweistelligen Bereich. 

b) Aus welchen Quellen nimmt das BfV die Informationen, dass von „Uro¬ 
buros“ bzw. „Snake“ insbesondere die Bereiche Energietechnik, Rönt¬ 
gen- und Nukleartechnologie, Messtechnologie sowie Luft- und Raum¬ 
fahrt ausgeforscht würden? 

Diese Informationen ergeben sich aus dem an der Opferauswahl erkennbaren 
Aufklärungsinteresse des Angreifers. Zudem sind Opfer aus diesen Bereichen in 
entsprechenden Berichten von IT-Sicherheitsuntemehmen beschrieben. 


c) Welche technischen Details sind der Bundesregierung zur Software „Uro¬ 
buros“ bekannt? 

d) Welche Dateisysteme kann „Uroburos“ infiltrieren, und wie verbreitet 
sich die Malware? 

Die Fragen 14c und 14d werden gemeinsam beantwortet. 

Bei der Software „Uroburos“ handelt es sich um eine hochkomplexe Schadsoft¬ 
ware, deren Besonderheit darin liegt, sich unerkannt in Netzwerken über längere 
Zeit zu bewegen und die in der Lage ist sämtliche Dateisysteme zu befallen. 


15. Inwiefern ist die vom BfV und vom BND eingerichtete „temporäre Arbeits¬ 
einheit“ zur Prüfung, „ob die russische Regierung mit geheimdienstlichen 
Mitteln die politische Debatte und die öffentliche Meinung in Deutschland 
zu beeinflussen versucht“, weiterhin existent (Bundestagsdrucksache 
18/10759, Antwort zu Frage 8)? 

Die Aufgabe der innerhalb des BfV eingerichteten temporären Arbeitseinheit 
wurde inzwischen in den zuständigen Fachbereich des BfV überführt. Im Bundes¬ 
nachrichtendienst (BND) wird die Thematik weiterhin in mehreren Arbeitsbe-rei- 
chen/Abteilungen bearbeitet. Eine gemeinsame temporäre Arbeitseinheit von 
BfV und BND bestand nicht (vgl. Bundestagsdrucksache 18/10759; Antworten 
zu den Fragen 7 und 8). 
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a) Welche wesentlichen Ergebnisse schildert der Bericht, den die Bundesre¬ 
gierung beim BND und beim BfV zu venneintlich russischen Aktivitäten 
im Cyberraum beauftragt hatte, zu denen es heißt, die Bundesregierung 
habe diesen Bericht „zur Kenntnis genommen“ (Bundestagsdrucksache 
18/11106, Antwort zu Frage 7)? 

Auf die Antwort der Bundesregierung zu den Fragen 7, 7a und 7 c der Kleinen 
Anfrage der Fraktion DIE LINKE, auf Bundestagsdrucksache 18/11106 vom 
8. Februar 2017 wird verwiesen. Im Übrigen wurde der Bericht - anders als von 
den Fragestellern dargestellt - nicht zu vermeintlich russischen Aktivitäten im 
Cyberraum in Auftrag gegeben, sondern hatte die Prüfung zum Ziel, ob die rus¬ 
sische Regierung mit geheimdienstlichen Mitteln die politische Debatte und die 
öffentliche Meinung in Deutschland zu beeinflussen versucht. 


b) Hinsichtlich welcher weiterer Regierungen außer den in den Antworten 
der Bundesregierung auf die Kleinen Anfragen der Fraktion DIE LINKE, 
auf Bundestagsdrucksachen 18/11106, 18/8631 und 18/10759 genannten 
Regierungen hat das BfV „Anwerbeversuche“ der „Mitarbeiter (deut¬ 
scher) Parlamentarier oder politischer Stiftungen“ beobachten können? 

Neben Angehörigen der russischen Nachrichtendienste unterhalten auch Ange¬ 
hörige weiterer Nachrichtendienste Kontakt zu politischen Stiftungen. In diesem 
Zusammenhang hat das BfV Anwerbungsversuche von Mitarbeiterinnen und 
Mitarbeitern verschiedener Fraktionen des Deutschen Bundestages sowie von po¬ 
litischen Stiftungen durch Angehörige chinesischer Nachrichtendienste beobach¬ 
ten können. 


16. Inwiefern könnte der am 28. Februar 2018 bekannt gewordene Angriff nach 
derzeitigem Stand der Analyse durch fehlende Sicherheitsupdates oder eine 
großzügige Rechtevergabe begünstigt worden sein, und wie ist hierzu im 
Auswärtigen Amt verfahren worden? 

Der Bundesregierung liegen hierzu noch keine abschließenden Erkenntnisse vor, 
da die technische Analyse des Vorfalles noch nicht abgeschlossen ist. 

Im Übrigen wird auf den „VS - Geheim“ eingestuften Antwortteil gemäß der 
Vorbemerkung der Bundesregierung verwiesen. 


17. Inwiefern hätte der Angriff nach derzeitigem Stand der Analyse verhindert 
werden können, wenn das Auswärtige Amt nicht bis 2015 komplett auf 
Windows XP und Windows 7 umgestiegen wäre (Bundestagsdrucksache 
18/4473)? 

Auf die „VS - Nur für den Dienstgebrauch“ eingestufte Antwort gemäß Vorbe¬ 
merkung der Bundesregierung wird verwiesen. 


18. Wie viele E-Mails, die Schadsoftware enthielten, wurden im IVBB in den 
Jahren 2016 und 2017 abgefangen? 

19. Wie viele Verbindungen zu Webseiten, die Schadsoftware enthielten, wur¬ 
den im IVBB in den Jahren 2016 und 2017 unterbunden? 

Die Fragen 18 und 19 werden gemeinsam beantwortet. 

Für die Beantwortung der Fragen wird auf die Berichte des BSI zur IT-Sicherheit 
in Deutschland von 2016 und 2017 verwiesen. 
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Diese sind unter den Adressen www.bsi.bund.de/SharedDocs/Downloads/DE/ 

BSI/Publikationen/Lageberichte/Lagebericht20 16.pdf? _blob=publicationFile&v=5 

und www.bsi.bund.de/SharedDocs/Downloads/DE/BSEPublikationen/Lageberichte/ 
Lagebericht2017.pdf? _blob=publicationFile&v=4 abrufbar. 

Eliernach wurden im Berichtszeitraum 2016 monatlich ca. 44 Tsd. und 2017 mo¬ 
natlich ca. 52 Tsd. mit Schadcode infizierte E-Mails in den Regierungsnetzen ab¬ 
gefangen. Ferner wurden im Berichtszeitraum 2016 täglich ca. 3 600 und 2017 
täglich ca. 5 200 Verbindungs versuche aus den Regierungsnetzen zu Schadcode- 
servem blockiert. 


20. Inwiefern könnten die Angreifer nach derzeitigem Stand der Analyse nicht 
veröffentlichte Sicherheitslücken („Zero Day Exploits“) genutzt haben, und 
inwiefern ist es dem BSI überhaupt möglich, hierzu am Ende der Analyse 
und Ermittlungen mit endgültiger Klarheit Aussagen zu treffen? 

Flierzu liegen der Bunderegierung derzeit keine Erkenntnisse vor. Die Bundes¬ 
regierung geht davon aus, dass das Ergebnis der technischen Analysen Aufschluss 
über das Vorgehen des Angreifers geben wird. Sogenannte Zero Day Exploits 
zeichnen sich jedoch dadurch aus, dass die Schwachstelle i. d. R. nicht bekannt 
ist und daher erst nach Bekanntwerden durch einen Fix geschlossen werden kann. 
Es kann daher bei Cyberangriffen nie mit an Sicherheit grenzender Wahrschein¬ 
lichkeit ausgeschlossen werden, ob auch sogenannte Zero Day Exploits ausge¬ 
nutzt wurden. 


21. Was kann die Bundesregierung über den Fortgang eines deutschen Prozesses 
mitteilen, in den Überlegungen zur Nutzung von Schwachstellen (sogenann¬ 
ten Exploits bzw. Zero Day Exploits) durch Strafverfolgungsbehörden oder 
Geheimdienste münden sollen (Antwort auf die Schriftliche Frage 25 des 
Abgeordneten Andrej Flunko auf Bundestagsdrucksache 18/13696)? 

a) Welche Kriterien müssten aus Sicht der Bundesregierung beispielsweise 
erfüllt sein, damit entschieden würde, dass eine gefundene Schwachstelle 
lieber nicht durch die Behörden ausgenutzt wird, sondern die Flersteller 
und Betreiber der Systeme gewarnt werden, damit sie diese schließen kön¬ 
nen? 

b) Sofern die Meinungsbildung innerhalb der Bundesregierung hierzu im¬ 
mer noch nicht abgeschlossen ist, wann kann sie zur Frage möglicher 
„Stufen eines Prozesses“ und zu möglichen „Kriterien“ eine Aussage tref¬ 
fen? 

Die Fragen 21 bis 21b werden gemeinsam beantwortet. 

Auf die Antwort der Bundesregierung auf die Schriftliche Frage 25 des Abgeord¬ 
neten Andrej Flunko auf Bundestagsdrucksache 18/13696 vom 23. Oktober 2017 
wird verwiesen. Es ist derzeit auch nicht absehbar, wann die Meinungsbildung 
innerhalb der Bundesregierung hierzu abgeschlossen sein wird. 

22. Mit welchen russischen Behörden arbeiten welche Bundesbehörden im Be¬ 
reich der Cybersicherheit oder der Abwehr von IT-Angriffen regelmäßig in 
technischen, operativen und strategischen Fragen zusammen? 

In den Jahren 2016 und 2017 führte die Bundesregierung ressortübergreifende 
Cybersicherheitskonsultationen mit Russland, die der Vertrauensbildung und der 
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strategischen Zusammenarbeit dienen sollten. Darüber hinaus besteht keine Zu¬ 
sammenarbeit von Bundesbehörden mit russischen Behörden im Sinne der Fra¬ 
gestellung. 


23. Sofern der am 28. Februar 2018 bekanntgewordene Angriff einem Staat zu¬ 
gerechnet werden kann, nach welcher Maßgabe hätte die Bundesregierung 
aus ihrer Sicht das Recht, diesen für sein Fehlverhalten zu sanktionieren? 

In Fällen, in denen eine Cyber-Operation einem fremden Staat zugerechnet wer¬ 
den kann, richtet sich die Zulässigkeit von Gegenmaßnahmen nach dem inner¬ 
staatlichen Recht (zum Beispiel dem Gefahrenabwehrrecht) und dem Völker¬ 
recht. Im Übrigen wird auf die Antwort zu Frage 12 verwiesen. 


24. Aus welchen Erwägungen hält es die Bundesregierung für notwendig, die 
rechtlichen und technischen Fähigkeiten zu digitalen Gegenschlägen auszu¬ 
weiten, und welche Pläne wird sie hierzu verfolgen („Flacking back? Tech¬ 
nische und politische Implikationen digitaler Gegenschläge“, SWP-Aktuell 
59, August 2017)? 

a) Welche Ergebnisse kann die Bundesregierung zu Analysen der hierzu be¬ 
nötigten technischen Fähigkeiten mitteilen, und welche Vorschläge für 
notwendige gesetzliche Änderungen wurden hierzu ermittelt? 

b) Inwiefern sollten vor einem digitalen Gegenschlag zunächst internatio¬ 
nale Rechtshilfeersuchen gestellt werden, um Angreifer zu ermitteln und 
die Behörden des zuständigen Landes zur Mitarbeit bei der Abwehr auf¬ 
zufordern? 

c) Welche Behörden sollten aus Sicht der Bundesregierung mit Möglichkei¬ 
ten digitaler Angriffe oder Gegenschläge ausgestattet werden? 

Die Fragen 24 bis 24c werden aufgrund des Sachzusammenhangs gemeinsam be¬ 
antwortet. 

Die Bundesregierung hat in der Cyber-Sicherheitsstrategie für Deutschland im 
Jahr 2016 die Feststellung getroffen (CSS 2016, Seite 29, abrufbar unter: 
www.bmi.bund.de/DE/themen/it-und-digitalpolitik/it-und-cybersicherheit/cyber- 
sicherheitsstrategie/cyber-sicherheitsstrategie-node.html), dass schwerwiegende 
Cyber-Angriffe vorstellbar sind, gegen die mit den klassischen präventiven Maß¬ 
nahmen in der notwendigen Zeit nicht nachhaltig vorgegangen werden kann. Die 
Bundesregierung hat deswegen Prüfungen eingeleitet, unter welchen rechtlichen 
Rahmenbedingungen und mit welchen technischen Möglichkeiten in solchen Fäl¬ 
len durch staatliche Stellen Netzwerkoperationen durchgeführt werden körnen. 

Der neue Koalitionsvertrag enthält zudem Aussagen, die auf einen Bedarf der Si¬ 
cherheitsbehörden in Bezug auf gleichwertige Befugnisse im Umgang mit dem 
Internet wie außerhalb des Internets gerichtet sind. 

Unter diesen Rahmenbedingungen werden die Prüfungen zu Maßnahmen einer 
(zivilen) aktiven Cyber-Abwehr fortgesetzt. 

In die Prüfungen wird mit einbezogen, für welche Szenarien, in welcher Form 
und auf wessen Entscheidung zivile Maßnahmen der aktiven Cyber-Abwehr 
durchgeführt werden können. 
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Zudem fließen in die Prüfungen auch Fragen der Attributionsmöglichkeiten und 
der Verhältnismäßigkeit solcher Maßnahmen mit ein, ebenso wie das Bewusst¬ 
sein, dass staatliche Stellen im Rahmen des geltenden Verfassungs- und Völker¬ 
rechts agieren müssen und unnötige Eskalationen zu vermeiden sind. 

Jegliche Maßnahmen der aktiven Cyber-Abwehr sind einer sehr sorgfältigen 
rechtlichen und außenpolitischen Bewertung zu unterziehen. 

Die Ergebnisse dieser Prüfungen sowie eine Entscheidung der Bundesregierung 
über den Rechtsetzungsbedarf liegen abschließend noch nicht vor. 


d) Über wie viele Mitarbeiterinnen und Mitarbeiter verfugt das vor einem 
Jahr bei der Bundeswehr gegründete Kommando „Cyber- und Infonnati¬ 
onsraum“, und welcher Personalbestand ist geplant? 

Das Kommando Cyber- und Informationsraum (KdoCIR) wurde mit einem Star- 
tum-fang von 258 Dienstposten (DP) am 1. April 2017 aufgestellt. Es wird nach 
derzei-tigem Planungsstand mit Einnahme der Zielstruktur in 2021 ca. 700 DP 
umfassen. Mit Stichtag zum 3. April 2018 sind 326 DP besetzt. 

Der Gesamtumfang des Organisationsbereichs Cyber- und Informationsraum soll 
im Jahr 2021 die Zielgröße erreichen und dann ca. 12 570 militärische und 1 880 
zivile DP umfassen. 


e) Auf welche Weise soll die Zusammenarbeit von Bund und Ländern bei 
der Cyberabwehr ausgebaut, verbessert und strukturell neu geordnet wer¬ 
den? 

Cybergefahren und -angriffe sind i. d. R. nicht an Landesgrenzen gebunden. Eine 
enge Zusammenarbeit von Bund und Ländern ist daher zwingend erforderlich. 
Bund und Länder sind daher im kontinuierlichen Dialog, wie die Zusammenarbeit 
gestaltet und verbessert werden kann. So wurde u. a. auf der Herbst-IMK 2016 
eine Steuerungs- und Bündelungsfunktion des Bundes beschlossen. Für die Si¬ 
cherheit der IT der öffentlichen Verwaltung des Bundes und der Länder hat der 
IT-Planungsrat die IT-Sicherheitsleitlinie verabschiedet und schreibt diese regel¬ 
mäßig fort. 

Um eine noch engere Zusammenarbeit zwischen Bund und Ländern bei der Ge¬ 
fahrenbewertung und -bewältigung zu schaffen, beabsichtigt die Bundesregie¬ 
rung die Länder noch stärker in das weiterzuentwickelnde Cyberabwehrzentrum 
einzubinden. 


f) Mit welchen Kompetenzen wird die Rolle des BSI diesbezüglich gestärkt, 
und ist geplant, die Behörde unabhängig zu gestalten und die Nachord¬ 
nung zum BMI aufzulösen, um Interessenskonflikte auszuschließen? 

Wie sich das Verhältnis von Bund und Ländern bei der Zusammenarbeit mit dem 
BSI konkret gestaltet, ist Gegenstand laufender Prüfung. Die Bundesregierung 
beabsichtigt nicht, das BSI als unabhängige Stelle einzurichten. 
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